高级恶意软件没有想象的那么简单！

ZDNET安全频道 09月05日 综合消息：高级恶意软件是网络世界里最新、最具潜在破坏性的威胁。它们隐秘，具有针对性且极具“耐心”。一些知名的恶意软件尽管通常带有易于识别的签名，但通过不断变化总能逃过一般识别模式的防御。此外，它们通常专注于特定目标，并在达到目的之前“小心翼翼”，尽量减少在网络上的“踪迹”。可以说，高级恶意软件在被发 现和被消除之前其实已经活跃很久了。与此同时，在未被发现期间，这些软件对系统和组织已造成重大破坏。

针对高级恶意软件如上特殊性，传统网络安全解决方案的开发方式不再百分之百的有效。基于“签名”方法的整体解决方案对于捕获那些已知恶意软件高效准确，但仅靠这些方法显然不足以使机构或组织得到充分保护。

那么，我们应该如何应对这种高级恶意软件？我想先谈谈目前普遍存在的对高级恶意软件解决方案的两大误解，继而分析怎样才是最有效的方式。

误解一：高级恶意软件的主要问题在于如何识别

正如前面所分析的高级恶意软件的特性，传统的解决方案已经无法满足我们的需求，因此需要另辟蹊径。目前，应对这种威胁的一个常见方法是一种基于“行为”的技术，称为沙盒技术。

沙盒是一种强大的离线查找工具，可将未知或可疑文件隔离在一个虚拟环境里，允许它们在其中充分“表演”，就好像它们已达到目标；而沙盒内置的设备会监控文件 的“一举一动”。如果疑似病毒确认具有威胁性，那么它则无法在隔离的虚拟环境里产生真正威胁。沙盒技术创造出了一个相对安全的环境，可以用来测试可疑文件。此外，由于沙盒无需在分析前了解文件情况，即无需“签名”，因此它成为了一项识别高级恶意软件的强大技术。

但是，“沙盒”也有其局限性。例如，许多沙盒技术只能在既定操作系统的通用版本上运行，并非是客户实际操作环境的真正影像。这就可能导致对可疑文件行为的错误假设。这种局限性在某种程度上限制了它们捕获高级威胁的能力。

但这种基于行为的方法在识别大量高级威胁方面仍表现得相当有效，因此市场对该项技术反响热烈。然而，正是这种热烈反响产生了一个共同的传言——高级恶意软件的主要问题在于如何识别。

事实上，识别高级恶意软件非常重要，但是真正的挑战是如何处理高级恶意软件，阻止并修复其造成的伤害。

沙盒技术是一项功能，而非产品，识别高级恶意软件只是其中的一个步骤，而非解决方案。虽然传统的解决方案通常无法识别高级恶意软件，但它们却具有良好的防护能力。沙盒的局限是只能识别威胁，而不能进行阻止和修复，因此，为了真正地抵御高级恶意软件，沙盒必须配有阻止威胁并修复其所造成的损害的工具。如果没有这些附加功能，安全行业只是解决了问题的一部分，而将大多数工作留给了客户。

误解二：沙盒可以隔离恶意软件

对恶意软件的分析往往是复杂且耗时的，因此沙盒并不是一项实时技术。事实上，大多数沙盒只能对文件复本进行分析，而原始文件则被发送到目标终点。所以即使发现一个可疑文件是恶意的，实际文件早已到达终点并造成损害。

就这一点而言，沙盒只能发现可疑文件是恶意的，但不能真正地阻止它。

此外，沙盒通常是缓慢从一个入口点进入环境，它甚至不会注意到可能还有其它的高级恶意软件溜进了其它入口点。但真正安全的技术必须能够识别和阻止溜进任何入口点的恶意软件，而无需其它额外软件帮助。

那么，我们如何提升安全级别呢？我们需要在每个入口点设置监控，并采用一些技术阻止被列入黑名单的文件。如果沙盒解决方案有一些附加的文件屏蔽功能，并假设 这些功能是成熟的，那么将面临两个选择：可以在每个入口点部署这种技术——这需要我们支付高额的费用；或者可以通过使用一个解决方案，对这些入口点现有的 安全产品发现的可疑文件进行集中分析。

显然第二种方法能更有效地降低成本并使网络控制更加严格。

总而言之，与传统防御系统实时分析和阻止恶意软件的方式不同，沙盒不能实时操作。为了真正有效地应对高级威胁，必须将沙盒部署为高度集成或综合安全环境的一部分：可处理多个入口点，且能将信息传回操作环境，警告发现新恶意软件，并尽可能地在发现前阻止和修复相应损害。